Comments
Description
Transcript
Ⅳ.個人情報保護対策に関するコストの事例
Ⅳ.個人情報保護対策に関するコストの事例 Ⅳ.個人情報保護対策に関するコストの事例 本章では、“個人情報保護対策のためにどの程度のコスト(金銭・人員等含む)が必要 であるか”、ということについて、ヒアリング対象事業者に確認・整理した。 なお、個人情報保護対策のためのコストについては算定が必ずしも容易でないことに は留意が必要である。ある対策がより大きな取組の中の一環として行われることもあり、 また特定の人員だけが係わるわけでは無いことから、その取組に要した人員・時間とい う形でも必ずしも正確には算定できないからである。 したがって、本節でまとめているコストは参考値としての位置付けである。また、Ⅱ、 Ⅴ章で取り上げている事業者の取組そのものに対応して費消したコストで無い場合もあ ることにも留意が必要である(取組の一部である場合や取組以外の関連するコストが含 まれる場合がある)。 なお、個人情報保護対策に関するコストは、以下の項目について事業者に対して調査 を行い、何らかの特徴的な取組を行っている場合に整理の対象としている。 ※本章(第Ⅳ章)の情報については、平成 18 年度調査時点の情報から、特段追加的な確認 を行っているものではなく、平成 18 年度時点の情報であることに留意して利用されたい。 図表 個人情報保護対策に関するコストの調査項目 ■個人情報の適切な管理(個人情報の管理システム) (1)入退室管理装置など物理的管理対策の導入費用及びランニング費用 (2)セキュリティ便等の情報セキュリティに配慮した輸送サービスの費用 (3)アクセス制限の設定など、システムの構築のために要した費用 ■個人情報の適切な管理(従業者等への教育方法) (4)パンフレット、教材等の作成費用、人数、日数等 (5)資格取得支援のための教育費、受験料の負担、報奨金等 (6)ペーパーテストの実施にかかる人数と日数または月数 (7)e ラーニングシステムの導入、運用費用 ■個人情報の適切な管理(個人情報の盗難対策) (8)USB キーロック、遠隔消去、自動消去システムなどの導入費用 ■個人情報の適切な管理(ノートPCの安全対策) (9)ノート PC のアクセス制限システム、ハードディスクの暗号化 ■個人情報の適切な管理(初歩的ミスの防止策) (10)メール管理システムや FAX の番号登録システムの導入費用 ■個人情報の消去・破棄 151 (11)シュレッダー処理や破砕・裁断処理、データ消去ソフト等の導入費用 (12)廃棄業者への委託費用 ■個人情報の監査 (13)監査に外部機関を利用している場合の費用 ■個人情報保護対策の準備(規程づくり・体制づくり) (14)コンサルタント等の外部専門家への委託費用 ■その他 (15)その他コストの分かる取組 152 (1)入退室管理装置など物理的管理対策の導入費用及びランニング費用 ・導入した機器の種類、数などによって様々であり、数十万円~数百万円で対応を行っ ている事業者もあるが、信用や情報サービス業など特に厳格な管理が求められる業種 では、数億円規模の投資を行っている事業者も存在する。 「※」 :平成 19 年度時点と従業員数に大幅な変動があるものについて、平成 19 年度時点の従業員数を示 している。 (電気・ガス・水道業:1,000 人) ・サーバルームへの監視カメラシステム導入に 80 万円、防犯ガラス導入に 100 万円を要 した。 (卸売業:約 1,480 人) ・社内のマシンルームに指紋認証装置設置(3 箇所)したことにより約 300 万円を要した。 (卸売業:約 110 人)※約 200 人 ・入退室管理装置の導入に約 75 万円を要した。2 ケ所のドアにリーダを設置し、磁気カ ードを与えられた人のみ入室可能となっている。また磁気カードは、個人とカード番 号とで管理されているものである。 (卸売業:約 1,500 人) ・監視カメラ 8 台、指紋認証装置1台で約 500 万円を要した。 ・駐車場の監視センサー費用として年間 42 万円/年を要している。 (小売業(百貨店・スーパー):約 10,000 人)※12,000 人 ・キャビネット、シュレッダーの設置で約 1,500 万円、ノート PC 固定用ワイヤー等で 500 万円を要した。 (小売業(百貨店・スーパー):約 10,000 人) ・室内セキュリティエリア造作変更、監視カメラ 3 台、指紋認証装置 2 台で約 1,000 万 円を要した。また、保守費用は年間 6 万円を要している。 (小売業(通販等):約 520 人) ・入退室管理のために、監視カメラ 21 台、フラッパーゲート 1 対、生体認証装置6台、 IC カードリーダー16 台などを導入して導入費用として約 1,800 万円を要した。 ・これらの装置等の保守点検費は年間 25 万円程度要している。 153 (小売業(通販等):約 1,800 人) ・指紋認証による入館管理システム等設備導入費用として、500 万円を要した。 (信用業:約 3,700 人)※約 6,200 人 ・監視カメラ(約 1,000 台)、指紋認証装置(約 700 台)、私物用ロッカー設置など、 計約 7 億円を要している。 ・これらの機器・装置等の保守点検費用として毎年約 2,000 万円を要している。 ・これらの対応は全国 30 の拠点に順次導入していく予定である。 (信用業:約 700 人) ・カード読み取り機、及び付随する情報システムの導入に約 7,800 万円を要した。内訳 は、本社を含む主要拠点 2 カ所で 5,800 万円、その他拠点が合計で約 2,000 万円であ る。 (信用業:100 人未満) ・入退室管理装置を 5 室に 9 台設置するために約 700 万円を要した。 (情報サービス業(ソフトウェア):約 2,000 人) ・カードリーダなど機器導入費用(制御機器を含む)として約 2,000 万円(80 万/1 台) を要した。 ・保守費用(内部要員+機器保守費用)として毎年約 100 万円程度を要している。 (情報サービス業(ソフトウェア):約 1,600 人) ・導入コスト(平成 16 年度)は約 5 億円を要した。 ・導入した設備・備品等は具体的には以下の通り。 -「セキュリティ区画(レベル 3)設置工事;13 事業所/支社/支店」 -「入退室・事務室監視用監視カメラ(150 台)」 -「入退室用 IC カード装置(190 台)」 -「セキュリティ区画(レベル 3)用の個人情報専用保管ロッカー(150 個、シュ レッダー(30 台)」 -「セキュリティ区画(レベル 4)サーバ室用増設サーバラック増設(26 台)」 -「クライアント用暗号ソフト(3,000 セット) 」などである。 (情報サービス業(ソフトウェア):約 380 人) ・監視カメラ 4 台を導入するために約 80 万円を要した。 ・同設備については、別途、維持費を年間 10 万円要する。 154 (情報サービス業(コールセンター等):約 2,500 人) ・本社・支店・自社センター等にテンキーを 15 箇所設定した。その際の導入費用は約 150 万円を要した。 ・自社センターに監視カメラ 3 台を設置し、導入費用として約 150 万円を要した。 (情報サービス業(アウトソーシング等):約 1,000 人) ・出先事業所の入退館管理装置の導入(館内入退時のテンキー入力機器)について、3 事 業所を対象に、2005 年 10 月~2006 年 3 月の 6 ヶ月で、費用は 10 万×10 台=100 万 円を要した。 (その他サービス業(冠婚葬祭):約 70 人) ・情報管理室の入退室管理のための改築費用として、約 80 万円を要した。 (その他サービス業(印刷・広告):約 11,000 人) ・入退室管理システム・監視カメラ導入・什器設備などの導入費用概算として、一事業 所あたり初期導入費用が約 500 万円~3 億 5,000 万円であり、保守費用は年間約 20~ 1,100 万円を要している。 (その他サービス業(印刷・広告):約 110 人)※約 160 人 ・磁気カードキーとリーダ装置のセットで導入し、導入費用約 50 万円を要した。 (その他サービス業(印刷・広告):約 1,400 人) ・敷地境界セキュリティ、入退室管理装置等=1億 5,700 万円(予定含む)を要する。 ・パソコンセキュリティワイヤー、データ媒体搬送用ケース等=500 万円を要した。 (2)セキュリティ便等の情報セキュリティに配慮した輸送サービスの費用 ・輸送サービスの利用頻度や輸送対象となる商品のセキュリティ要求度によって事業者 間の差が著しいが、特に印刷・広告の大手事業者では毎月 1 億円以上も追加負担をし ている場合も見られる。 (電気・ガス・水道業:約 1,000 人) ・メール車(リース料)80 万円/年、委託費用 470 万円/年を要している。 ・車両セキュリティ(ハンズフリー、アラーム)6 万円を要している。 155 (小売業(百貨店・スーパー):約 10,000 人) ・情報セキュリティ便の輸送費として年間 60 万を要している。 (小売業(通販等):約 520 人) ・ケース・バイ・ケースで使用するサービスが異なるが、概算では年間 8~10 万円程度 である。 (信用業:約 700 人) ・送付物の追跡機能や、情報漏えいに対する保険がついた情報セキュリティに配慮した 輸送サービス費用として、年間 1,200 万円を要している。 (情報サービス業(ソフトウェア):約 2,000 人) ・情報セキュリティだけを考慮した輸送サービス費用として年間約 30 万円を要している。 (情報サービス業(アウトソーシング等):約 1,000 人) ・社内担当者運搬時の盗難防止装置の購入について、防犯ブザー5 個購入のために合計 1 万円を要した。 (その他サービス業(印刷・広告):約 11,000 人) ・個人情報を含む有価証券・カード等の納入に係る特別の費用について、通常輸送費用 との差額分を概算すると、毎月約 1 億 800 万円程度の差額が生じている。 (その他サービス業(印刷・広告):約 1,400 人) ・セキュリティ便の輸送費として、年間 1,800 万円を要している。 (3)アクセス制限の設定など、システムの構築のために要した費用 ・大きくシステムの再構築を行っているような場合や、大量のソフトの導入を行ったよ うな場合には、数千万円規模要しているようである。 ・中規模、小規模企業の場合は 10~20 人月程度を要して対応を行っている例が見られる。 (卸売業:約 110 人)※約 200 人 ・初期構築費用に約 50 万円を要した。維持管理費用としては約 7.5 万円要している。 ・構築には 1 人のシステム開発担当者が 3 ヶ月を要した。 (卸売業:約 1,480 人) 156 ・インターネット接続環境強化として 2,100 万円を要した。 ・サーバ類について、本社からデータセンタへの移転費用として 5,300 万円を要した。 (小売業(百貨店・スーパー):約 10,000 人)※12,000 人 ・システム構築に約 4 億 3,000 万円を要した。 ・このコストは USB キーロック、遠隔消去、自動消去システムなどの導入費用、ノート PC のアクセス制限システム、ハードディスクの暗号化などのノート PC 盗難対策、メ ールの誤送付のチェックシステムなども含んだ金額である。 (小売業(百貨店・スーパー):約 10,000 人) ・約 500 万円の委託で構築した。 (小売業(通販等):約 520 人) ・5 人のシステム担当者が約 3 ヶ月半要して構築した。 (小売業(通販等):約 1,800 人) ・ハード費用・構築作業費用を含めて、約 300 万円(約 2 ヶ月)を要した。 (信用業:約 3,700 人)※約 6,200 人 ・業務端末へ暗号化ソフトを導入しており、FD 等の書き出し制限とログ管理を実施して いるが、この暗号化ソフトの導入に際して 2,500 万円を要した。 ・基幹系システムのアクセスログ取得のためのシステム改善に約 4,500 万円を要した。 (信用業:約 700 人) ・ノート PC のアクセス制限と合わせて約 8,500 万円を要した。 (信用業:100 人未満) ・契約情報印刷時にマスキング処理ができるようにするために情報システムに修正を加 えた(修正対象プログラム本数 15 本)。システム修正費用 14 人日程度要した。 (情報サービス業(ソフトウェア):約 2,000 人) ・社内情報システム構築専任組織として常時 10 名が従事している。なお、専任組織の固 定費を情報化セキュリティ維持費と考えると、約 1 億円を要していることになる。 ・なお、この専任組織がノート PC のアクセス制限システム、ハードディスクの暗号化に も対応しており、この費用も上記に含まれる。 157 (情報サービス業(ソフトウェア):約 1,600 人) ・全社の社内システムの権限の維持管理の監視者は 2 名で実施している(年間 24 人月で ある)。 (情報サービス業(ソフトウェア):約 380 人) ・6 人月程度を要している(メンテナンス等のランニング・コストは別である)。 (情報サービス業(アウトソーシング等):約 1,000 人) ・社内独自システムの回線接続強化関連費用として IDC 利用、回線強化等約 50 万円を 要した。 (その他サービス業(冠婚葬祭):約 70 人) ・3 名が 4 ヶ月を要して構築した。 (その他サービス業(印刷・広告):約 11,000 人) ・システム構築のための外部委託費として約 6,500 万円を要した。 ・内訳としては、32 人月を要し、実際には延べ 14 人が従事した。 (その他サービス業(印刷・広告):約 1,400 人) ・アクセス制限、システムログ採取等のシステム構築として主に以下の 2 点。 ・2 名のシステム担当者が 1 年かけて構築し、専用ソフトの購入等外部支払費用として、 2,700 万円を要した。 (その他サービス業(会議等開催運営支援):約 190 人) ・システム担当者が 3 名程度で従事し、4 ヶ月で構築した。 (4)パンフレット、教材等の作成費用、人数、日数等 ・パンフレット、教材等の作成費用としては、1~3 名程度の担当者が数ヶ月を要して策 定している事例が見られる。 (電気・ガス・水道業:1,000 人) ・情報システムのセキュリティに関する小冊子を作成した。担当 1 名で 2 ヶ月程度かけ て作成し、200 万円を要した。 158 (卸売業:約 110 人)※約 200 人 ・個人情報保護マニュアルを、担当者1人で 3 ヶ月要して作成した。 (卸売業:約 1,500 人) ・個人情報運用のための Q&A について、担当者 1 名で、延べ 1 ヶ月程度で作成した。 (小売業(百貨店・スーパー):約 10,000 人) ・プライバシーポリシーポスター4 万円、ポリシーカード 10 万円、個人情報取扱店頭掲 示板等 20 万円の合計 34 万円を要した。 (小売業(物販):約 450 人)※約 750 人 ・教育用の教材策定には、内容策定から作成までに関する人件費コストでは、担当 3 人 で約 6 ヶ月程度を要した。 ・マニュアルは教材、パンフレット類の作成ではなく、コピーレベルの冊子であり、製 作コストそのものは人件費がほとんどである。 (小売業(通販等):約 520 人) ・コンプライアンス・ハンドブックを職員 1 人が 1 ヶ月半要して作成した。 ・個人情報保護教育研修教材(パワーポイントなど)は職員 3 人で 2 ヶ月要して作成し た。 (小売業(通販等):約 1,800 人) ・規程作成、マネジメントの承認から全社への配信まで、担当者 1 名で約 6 ヶ月を要し た。 (信用業:約 700 人) ・1 つの教材を作成するために 2 名で約 5 日間を要する。 (情報サービス業(コールセンター) :約 2,500 人) ・担当者 1 名が 2 ヶ月要して作成した。 (情報サービス業(アウトソーシング等):約 2,700 人) ・ポスター作成に 9 万円、ハンドブック作成に 15 万円を要した。 ・ハンドブック改定に担当 4 名で約1ヶ月かかった。 159 (情報サービス業(アウトソーシング等):約 1,000 人) ・主要教材は 4 種。コンプライアンスマニュアル(手順・解説書)、個人情報保護ハンド ブック(基本)、個人情報保護ハンドブック(オフィスでの管理)、情報システム利用手順・ 解説書などである。 ア.2005 年作成時 ①作成工数:2 人×従事割合 0.2×2 ヶ月=0.8 人月、 ②全員配布印刷費:15 万×4 種=60 万 イ.以降毎年度始見直し ①見直し工数:2 人×従事割合 0.1×2 ヶ月=0.4 人月 ②全員配布印刷費:15 万×4 種=60 万 (その他サービス業(冠婚葬祭):約 70 人) ・2 名が 3 ヶ月を要して構築した。 (その他サービス業(印刷・広告):約 11,000 人) ・教材作成のための外部委託費用として約 6,700 万円を要した。 ・内訳としては、16 人月を要し、実際には延べ 15 人が従事した。 (その他サービス業(印刷・広告):約 110 人)※約 160 人 ・運用マニュアルの制作に 100 万円を要した(4 人が 2 ヶ月従事)。 (その他サービス業(印刷・広告):約 1,400 人) ・関連規程および説明資料を担当者 3 名で 6 ヶ月かけて作成した(ISMS 含む)。 (5)資格取得支援のための教育費、受験料の負担、報奨金等 ・資格によって異なるものの、数万円程度の支援を行っている事業者が存在する。 ・一方で、報奨金として数十万円を支給するような事例も見られる。 (卸売業:約 110 人)※約 200 人 ・1 人の職員の資格取得支援(受験料及び教材費)として、約 2.3 万円 (卸売業:約 1,500 人) ・ISMS 内部監査員研修 受講費と受験料について、20 名で約 60 万円を要した。 160 (小売業(通販等):約 520 人) ・資格取得の研修受講費用について、3 名の資格取得のために合計約 150 万円を要した。 (信用業:100 人未満) ・個人情報取扱主任者受講料として、一人あたり 1.5 万円の支援実施 ・個人情報取扱主任者合格時の報奨金は 5,000 円(図書カード)となっている。 (情報サービス業(ソフトウェア):約 1,600 人) ・公的資格取得に対する報奨金としては、情報処理技術者試験に合格した際には 5~30 万円、またベンダー認定資格試験に合格した際には 3~15 万円を支給している。 (情報サービス業(ソフトウェア):約 380 人) ・ISO 審査補の資格受験のために 1 人あたり 60 万円(受験者は 2 名)を要している。 ・ISO 審査補の資格認定のために 1 人あたり 5 万円(受験者は 2 名)を要している。 (情報サービス業(アウトソーシング等):約 1,000 人) ・通信教育の場合、終了証を確認し教材費の半額補助を行っている。資格取得時は、社 内審査のうえ奨励金(通常 1 万円)を出している。 (その他サービス業(印刷・広告):約 11,000 人) ・研修の受講費用として約 550 万円を要した(受講者数は延べ 250 人)。 (その他サービス業(印刷・広告):約 1,400 人) ・関連研修費用として 50 万円(ISMS 含む)を要した。 (6)ペーパーテストの実施にかかる人数と日数または月数 ・実施に一定の人月を要している事業者も存在する。小規模事業者では 4 人月程度、大 規模事業者では 15 人月程度を要している場合も見られる。 (小売業(百貨店・スーパー):約 10,000 人) ・担当者 2 名で、準備から配布、回収、分析、報告まで約 3 ヶ月を要した。 (小売業(通販等):約 520 人) ・担当者 1 名で準備から採点まで約 1 ヶ月を要する。 161 (小売業(通販等):約 1,800 人) ・作成準備、実施から採点まで、担当者 1 名で約 3 ヶ月を要した。 (信用業:100 人未満) ・準備日数は7人日程度(具体的にはテスト問題のランダム抽出化、運用ルール作成を 実施。問題そのものは親会社より提供されたため、運用準備時間のみ)を要した。 (情報サービス業(ソフトウェア):約 380 人) ・準備、採点、評価、フィードバック等一連の実施のために 4 人月程度要する。 (情報サービス業(コールセンター等):約 2,500 人) ・テストの実施者は約 2,700 名であり、受験者は 35,000 名(1 年間の延べ人数)となる。 ・3 ヶ月ごとの契約更新時に実施。所要時間約 15 分。即時採点し、解説している。 (情報サービス業(アウトソーシング等):約 1,000 人) ・全社研修・テストは年 3 回実施している。 ・全社事務局は年 3 回、担当 2 名(従事割合は各 0.1)で準備から集計・評価まで 1 ヶ月 を要している。 ・各部(11 組織)は年 3 回、実施日は指定期間内で各1週間程度、担当 1~2 名(従事割 合 0.2)で実施している。 (その他サービス業(冠婚葬祭):約 70 人) ・担当者 2 名にて 2 ヶ月を要した。 (その他サービス業(印刷・広告):約 11,000 人) ・準備・実施・採点・集計のために 15 人月を要した(従事者数は延べ 18 人)。 ・上記には、受講費用は含まれない。 (その他サービス業(印刷・広告):約 1,400 人) ・担当者 4 名で準備から採点まで 2 ヶ月(年間)(ISMS 含む)を要した。 (7)eラーニングシステムの導入、運用費用 ・独自にシステムやコンテンツを開発している場合には相当の人月、費用がかかってい る。市販のソフト等を購入している場合には、比較的安価な対応ができている。 162 (電気・ガス・水道業:約 1,000 人) ・e ラーニングシステム導入として 300 万円を要した。 (卸売業:約 1,480 人) ・担当者 3 名で、社内 e ラーニングテキストの作成に 1 ケ月を要する。 ・社内 e ラーニングテキストの作成は年に 1 回実施している。 ・社内 e ラーニングシステムは既に導入済みであった。 (卸売業:約 1,500 人) ・毎年、導入前に担当者 3 名で 3 ヶ月かけて準備している。 ・実施、運用の外部委託を含めて、約 2,000 名に対し約 300 万円/年をかけている。 (小売業(通販等):約 1,800 人) ・暗号化ソフト導入のために、約 10 万円を要した。 (信用業:約 3,700 人)※約 6,200 人 ・3 年前に導入し、追加でパッケージツール導入とカスタマイズ化の対応を実施して、合 計約 2,000 万円を要した。 ・なお、e ラーニングシステムの保守点検費用は年間約 150 万円である。 (信用業:約 700 人) ・導入時には 1 名で 2 ヶ月を要して準備した。 ・1 回実施するたびごとに担当 1 名で約 3 日間。 (情報サービス業(ソフトウェア):約 2,000 人) ・市販ソフトを購入して利用している。導入時に約 250 万円を要した。運用費用は年間 約 60 万円である。 (情報サービス業(ソフトウェア):約 1,600 人) ・個人情報取扱資格試験(社内資格)のためのシステム等の維持管理費は年間 12 人月を 要している。 ・年 1 回の全員受験に加え、随時実施する途中入社試験、派遣社員途中入場試験が対象 である。担当者の業務としては、試験問題の作成、システム構築・運用、受験対象者 の把握、合格者の認定カード発行等が含まれる。 163 (情報サービス業(ソフトウェア):約 2,700 人) ・e ラーニングの問題作成に担当者 2 名で 1 ヶ月を要した。 (その他サービス業(冠婚葬祭):約 70 人) ・導入時にはシステム担当者及び人材担当者 3 名が 8 ヶ月の期間を要して構築した。 (その他サービス業(印刷・広告):約 11,000 人) ・コンテンツ製作費用としては約 200 万円を要した。 ・実施に際しては受講者データ整備・準備・案内・促進・集計などに 22 人月を要した(実 際の従事者数は延べ 11 人)。 (その他サービス業(印刷・広告):約 1,400 人) ・導入時はシステム担当者と教育担当者 2 名で 3 ヶ月かけて準備。 ・その後の教育は、担当者 2 名で、準備から採点まで 2 ヶ月(年 1 回程度)を要した。 (8)USBキーロック、遠隔消去、自動消去システムなどの導入費用 ・市販の商品が活用されており、比較的安価な対応ができている。 (電気・ガス・水道業:1,000 人) ・セキュリティ対策ソフト導入に 3,000 万円を要した。 (信用業:100 人未満) ・キーロック購入費として約7万円(20 個分)を要した。 (情報サービス業(ソフトウェア):約 2,700 人) ・自動消去ツールライセンスの購入に 200 万円を要した。 (情報サービス業(アウトソーシング等):約 1,000 人) ・USB、フロッピーディスク使用の禁止措置を全社 PC へ実施した。2006 年 2~3 月に 実施し、暗号化ソフトの導入と合わせて約 100 万を要した。 (その他サービス業(印刷・広告):約 11,000 人) ・消去ソフトの導入などで約 240 万円を要した。 164 (その他サービス業(印刷・広告):約 1,400 人) ・USB キーの導入に 16 万円を要した。 (9)ノートPCのアクセス制限システム、ハードディスクの暗号化 ・USB キーや、ソフトウェアの導入等が行われており、数百~数千万円程度を要してい る場合も見られる。 (卸売業:約 1,480 人) ・ノート PC への暗号化ソフトウェア導入(1,001 ライセンス)に約 1,080 万円を要した。 (卸売業:約 110 人)※約 200 人 ・従来導入していたノート PC を全てデスクトップ型に切り替えるために約 2,400 万円を 要した(20 万円×120 台の導入)。 (卸売業:約 1,500 人) ・USB メモリによる PC ロックと暗号化について、約 200 名で導入に 500 万円を要した。 (小売業(百貨店・スーパー):約 10,000 人)※12,000 人 ・ノート PC をワイヤーにより固定化するための費用として約 700 万円を要した。 (小売業(百貨店・スーパー):約 10,000 人) ・全 PC 端末セキュリティワイヤー導入 230 万円、PC 監視システム 1,280 万円、暗号化 ソフト導入 200 ライセンスで 267 万円、をそれぞれ要した。 (小売業(物販):約 450 人)※約 750 人 ・ノート PC はほとんど使用されていないが、外部 PC からのイントラサーバーへのアク セスは USB キーの配布者 50 名のみに制限している。 ・USB キー導入費用として約 2 万円(約 450 円×約 50 個)。 (小売業(通販等):約 520 人) ・情報漏洩防止ソフトの導入(280 ライセンス)のために、860 万円を要した。 (情報サービス業(ソフトウェア):約 380 人) ・約 820 万円を要する(500 ライセンス、ソフト・Ver.Up、サーバー)。 165 (情報サービス業(コールセンター等):約 2,500 人) ・ノート PC のアクセス制限システムを担当者 1 名により、1 ヶ月で構築した。 (情報サービス業(ソフトウェア):約 2,700 人) ・ノート PC 暗号化ソフト導入のために 2,000 万円、不正操作監視ツール導入のために 1,900 万円を要した。 (情報サービス業(アウトソーシング等):約 1,000 人) ・2006 年 2~3 月に導入し、32 ライセンスで、PC への外部記憶媒体使用禁止措置と合 わせて 100 万円を要した。 (その他サービス業(印刷・広告):約 11,000 人) ・USB キーの購入・配布や暗号化ソフト導入などで導入費用として約 3,200 万円を要し た(約 5,000 台を対象に導入した)。 (その他サービス業(印刷・広告):約 1,400 人) ・ホストおよびパソコンの暗号化ソフトの導入に 180 万円を要した。 (10)メール管理システムやFAXの番号登録システムの導入費用 ・小規模事業者は数万円程度の対応を行っているが、大規模事業者では、サーバそのも のの再構築を行い、1 億円以上のコストを要している事例もある。 (卸売業:約 1,500 人) ・メールのフィルタリング機能強化に約 500 万円を要した。 (小売業(百貨店・スーパー):約 10,000 人) ・送信メール監視ソフトの導入 530 万円 年間保守料 30 万円を要している。 (小売業(通販等):約 520 人) ・メール管理、FAX 番号登録などのシステム構築に 2 名で約 1 ヶ月半を要した。 (情報サービス業(アウトソーシング等):約 1,000 人) ・社外メールチェックシステムを利用しており運用監視コスト(工数)30 分/日×20 日 =10 時間/月(※月当り 1.3 人日)を要している。 166 (その他サービス業(冠婚葬祭):約 70 人) ・メール送受信システムの改善費用として約 3 万円を要した。 (その他サービス業(印刷・広告):約 11,000 人) ・メールサーバの再構築のために外部に委託を行い、約 1 億 2,500 万円を要した。 (その他サービス業(印刷・広告):約 1,400 人) ・メール管理サービス(ウィルス駆除等)の利用に年間 180 万円を要する。 (11)シュレッダー処理や破砕・裁断処理、データ消去ソフト等の導入費用 ・シュレッダーの導入費用としては台数や機種にもよるが、数万円~数千万円程度要し ている事業者が見られる。 ・中には、レンタル・リース等により安価に対応している事業者も存在する。 (電気・ガス・水道業:1,000 人) ・湿式シュレッダー(リース費用) : 200 万円/年 ・処理費用 : 21.6 万円/年 (卸売業:約 1,480 人) ・個人情報保護対策のための追加的なシュレッダー導入費用(6 台)として約 100 万円を 要した。 (卸売業:約 110 人)※約 200 人 ・シュレッダー導入費用として約 100 万円を要した(20 万円×5 台)。 (卸売業:約 1,500 人) ・ペーパーシュレッダを約 100 台、メディアシュレッダを約 10 台導入するために、計 1,500 万円程度を要した。 (小売業(百貨店・スーパー):約 10,000 人) ・環境の観点から湿式シュレッダーを導入したが、機密書類の処理にも利用している。 導入費用概算は 2 台で約 1,800 万円である。 167 (小売業(物販):約 450 人)※約 750 人 ・シュレッダーの各店舗への導入費用として約 250 万円を要した(約 13,800 円×約 180 台)。 (小売業(通販等):約 520 人) ・シュレッダー(ペーパー対応 16 台、CD シュレッダー1 台)の導入に合計約 300 万円 を要した。 ・データソフト消去ソフト(280 ライセンス)の購入に約 50 万円を要した。 (小売業(通販等):約 1,800 人) ・シュレッダー等導入費用として、約 10 万円を要している。 (信用業:約 700 人) ・データ消去ソフト(10 ライセンス)の購入に約 1 万円を要した。 (情報サービス業(コールセンター等):約 2,500 人) ・1 台につき 1 ヶ月 1 万円のシュレッダーを全社で 10 台レンタルしている。レンタル費 は年間約 120 万円である。 (情報サービス業(ソフトウェア):約 2,700 人) ・データ消去ソフトの導入に 240 万円を要した。 (情報サービス業(アウトソーシング等):約 1,000 人) ・データ消去ソフト購入に 0.5 万円を要した。 (その他サービス業(冠婚葬祭):約 70 人) ・シュレッダーの導入(8 台)で約 24 万円を要した。 (その他サービス業(印刷・広告):約 11,000 人) ・シュレッダー・メディアシュレッダー・データ消去ソフト等の導入によって合計約 290 万円を要した。 (その他サービス業(印刷・広告):約 110 人)※約 160 人 ・個人情報保護対策のための追加的なシュレッダー導入費用(3 台)として約 20 万円を 要した。 168 (その他サービス業(印刷・広告):約 1,400 人) ・記録メディアの破壊・データ消去機の導入に 360 万円を要した。 ・書類の破砕機の導入に 600 万円を要した。 (12)廃棄業者への委託費用 ・数十万円程度を委託費用として要している事業者が複数見られるが、印刷・広告等を 業務とする事業者は数千万円単位で委託している場合もある。 (電気・ガス・水道業:1,000 人) ・機密文書溶解処理として、133 万円。 (卸売業:約 1,480 人) ・機密文書廃棄業者への委託費用として、毎月約 30 万円を要している。 (卸売業:約 1,500 人) ・紙資料の廃棄のために、エコボックス 580 箱の導入で約 80 万円を要した。 ・パソコンの廃棄については、廃棄台数が年間で約 500 台であり、データ消去からリユ ース・リサイクル費用として約 200 万円を要している。 (小売業(百貨店・スーパー):約 10,000 人) ・廃棄業者(IT 関係書類、クレジット情報等)への委託費用として、年 1 回(5 月)で 23 万円を要している。 ・産廃業者(伝票類)への委託費用は、年 2 回(3 月、9 月)で、約 100 万円を要している。 (小売業(通販等):約 520 人) ・溶解業者への委託料として、半年に約 3t の物量で 20 万円強を要している。 (小売業(通販等):約 1,800 人) ・溶解処理業者への処理委託費用として、年間約 30 万円。 (信用業:約 700 人) ・委託費用として、月あたり約 60 万円を要している。 (信用業:100 人未満) ・機密文書処理費用:月当たり 7 万円(専用廃棄箱の数は 3 台)を要している。 169 ・半期ごとの処理費用は 3.5 万円である。 (情報サービス業(ソフトウェア):約 2,000 人) ・廃棄処理業者委託費用として年間約 60 万円を要している。 (情報サービス業(ソフトウェア):約 380 人) ・月に 10 万円程度を委託費用として要している。 (情報サービス業(コールセンター等):約 2,500 人) ・PC 廃棄委託料として、1回 10 万円のコストを過去に 3 回(計 30 万円)要した。 ・溶解委託料として、1 箱 2,000 円を 1 年に 10 箱で 2 万円を要した。 ・その他、即日シュレッダー処理を励行し、不要な資料を保留しないようにしている。 (情報サービス業(アウトソーシング等):約 1,000 人) ・溶解業者への委託費用として、2007 年 6 月実績で月額 13 万円を要した。 (その他サービス業(印刷・広告):約 11,000 人) ・廃棄・溶解処理業者への委託費用として、毎年約 2,300 万円を要している。 (その他サービス業(印刷・広告):約 110 人)※約 160 人 ・1 ヶ月に約 16tを排出しており、処理委託費用は毎月約 16 万円を要している。 (その他サービス業(印刷・広告):約 1,400 人) ・機密書類処分委託処理費用として年間 350 万円を要している。 (13)監査に外部機関を利用している場合の費用 ・外部に監査等を委託している場合には数百万円程度を要している場合がある。 (小売業(百貨店・スーパー):約 10,000 人) ・システムの脆弱性診断を外部に委託(毎年)に1回 20 万円、ネットシステムの脆弱性 診断も外部に委託しており、1 回 500 万円を要している。 (小売業(通販等):約 520 人) ・脆弱性診断を外部に委託している。年 1 回実施しており、委託費用は約 200 万円であ る。 170 (信用業:100 人未満) ・監査費用は 300~400 万円であり、年に 2 回程度実施している。 (その他サービス業(印刷・広告):約 11,000 人) ・脆弱性診断を外部委託で実施し、17 システムを対象とした。約 720 万円を要した。 ・ISMS とプライバシーマークの審査費用(審査のための準備費用も含む)として約 1,200 万円を要している。 (14)コンサルタント等の外部専門家への委託費用 ・委託されたコンサルティングサービスの範囲などによって異なるが、期間としては半 年~2 年以内であり、数百万円から数千万円規模でコストがかかっている。 ・アドバイザリ契約として継続的な関係を構築している場合もある。 (電気・ガス・水道業:1,000 人) ・情報システムのセキュリティ対策規程策定について 6 ヶ月で 2,500 万円を要した。 (卸売業:約 1,480 人) ・プライバシーマーク取得コンサルティング費用として、約 800 万円を要した。 ・コンサルティング期間は平成 16 年 5 月~平成 17 年 3 月の約 10 ヶ月であった。 ・子会社2社のサポートも実施した場合のコンサルティング費用である。 (卸売業:約 1,500 人) ・弁護士へのセミナー報酬として、20 万円を要した。 (小売業(百貨店・スーパー):約 10,000 人) ・コンプライアンス支援として年間約 300 万円を要している。 (小売業(通販等):約 520 人) ・コンサルティング・サービスを 1 年間委託して約 1,000 万円を要した。 (小売業(通販等):約 1,800 人) ・アドバイザリ契約で年間約 100 万円を要した。 ・IT 全般についての外部コンサルタント費用として、月額 150 万円を要した。 (信用業:約 700 人) 171 ・プライバシーマーク取得コンサルティング費用として、約 200 万円を要した。 ・コンサルティング期間は約 6 ヶ月であった。 (情報サービス業(ソフトウェア):約 3,700 人)※約 6,200 人 ・コンサルティング・サービスを 21 ヶ月利用して、約 3,000 万円を要した。 (情報サービス業(ソフトウェア):約 2,000 人) ・コンサルティング・サービスを 10 ヶ月利用して、約 3,000 万円を要した。 (情報サービス業(ソフトウェア):約 1,600 人) ・コンサルティング・サービス費用として年間約 1,500 万円を要した。 (その他サービス業(冠婚葬祭):約 70 人) ・顧問が対応したため、直接的なコストは要しない(認証取得充当費用概算で、100 万円 程度がこのタスクのために使用されたと計算される)。 (その他サービス業(印刷・広告):約 11,000 人) ・ISMS 認定コンサルティング費用として半年(6 ヶ月)で 750 万円を要した。 (その他サービス業(印刷・広告):約 160 人) ・コンサルティング・サービスを 6 ヶ月間委託して約 600 万円を要した。 (その他サービス業(印刷・広告):約 1,400 人) ・コンサルティング費用(ISMS 導入時)として 400 万円を要した。 (15)その他コストの分かる取組 ・大規模なシステムや機器等の導入以外にも、監査のための移動費用や連絡調整や会議 を実施するためのテレビ会議システムの維持管理などのために要する費用などがコス トと理解されている。 ・個人情報漏えい保険への加入で一定程度のコストをかけている場合もある。 (卸売業:約 1,500 人) ・個人情報漏えい保険に加入しており、50 万円/年を支払っている。 (小売業(百貨店・スーパー):約 10,000 人)※12,000 人 172 ・クレジットカードレシート、売上票控カード番号の非表示化のために約 500 万円を要 した。 ・その他、各種伝票類の非複写化のために約 800 万円を要した。 (小売業(百貨店・スーパー):約 10,000 人) ・個人情報取扱事業保険に加入しており、年間約 250 万円を支払っている。 (小売業(通販等):約 520 人) ・個人情報の預託、提供先(物流会社、大型家電の設置委託業者、コールセンター オペレーター派遣会社など)への外部監査実施のため、直接現地へ出向く経費などが、 年間 2~3 回で、2 名が対応しており、約 20 万円を要している。 (信用業:100 人未満) ・保管庫購入費として 50 万円(50 人用1台、30 人用 2 台を購入)を要した。 ・執務室内に持込み禁止の物品(USBメモリ、携帯音楽機器等)を保管するロッカー として購入したものである。 (情報サービス業(ソフトウェア):約 1,600 人) ・(1)~(15)に含まれるもの以外に、関連するシステム、設備・備品等として以下を導入 した際に約 1 億 5,000 万円を要した。 -インターネット Web フィルタリングシステム -PC 監視システム(サーバ)(暗号化監視、不正ソフト監視、使用者監視、接続禁止 PC 監視、メディア出力監視等を実施するシステム) -第 4 世代ウイルス対策サーバ設置(パターンファイル更新強化、ウイルス感染 PC 強 制切断等の機能を有する) -メール送受信監視システム -リモートアクセス権限管理強化 (情報サービス業(コールセンター等):約 100 人) ・内部監査を半年に 1 回のサイクルで 30 部署に対し実施しており、約 2 名で担当してい る。監査のための出張費は約 60 万円(年間)要している。 ・テレビ会議の費用が年間 18 万円要している。月に 1 回のサイクルで「コンプライアン ス委員会」を開催しており、本社・支店を含み 8 拠点を結んでいる。所要時間は約 3 時間程度である。 173 (情報サービス業(アウトソーシング等):約 1,000 人) ・ 新 JIS 規 格 要 求 事 項 の 「 個 人 情 報 保 護 マ ネ ジ メ ン ト シ ス テ ム 」 新 規 の 構 築 (2006.5~2006.11)の工数は以下のとおり。 担当組織 全社事務局 推進内容 期間 全体推進,内部規定,教育計 画,会議運営、PMS 構築 各部(11 部) リスク分析、自主点検、教育 の実施、実施記録作成等 監査 工数 3 人×0.8×8 月=19.2 人月 2006.05 ~2006.12 1 人×5 月×11 組織=55 人月 2006.06 ~2006.10 2 人×1 日×対象 11 部=22 人日 2006.04 構築時の監査 ~2006.11 75.2 人月 2006.05 合計工数(申請まで) ※概算としては1人月と見なす ~2006.12 ※月平均 9.4 人(75.2÷8 ヶ月=9.4) ・上記の毎年度運用負荷(工数)は以下のとおり。 第 1 三半期(4~7 月) 第 2 三半期(8~11 月) 第3三半期(12~3 月) 全項目を自主点検 特定項目を自主点検 特定項目を自主点検 (含む次年度計画準備) 事務局 2 人×従事割合 0.5×4 ヶ月 2 人×従事割合 0.4×4 ヶ月 =4 人月 各部(11 部) 1 人×従事割合 0.4×4 ヶ月 =3.2 人月 2 人×従事割合 0.5×11 日 57.8 人月 1 人×従事割合 0.3×4 ヶ月 ×11 部=13.2 人月 ×11 部=13.2 人月 2 人×従事割合 0.5×11 日 =11 人日(0.5 人月) 合計工数 =5.6 人月 1 人×従事割合 0.3×4 ヶ月 ×11 部=17.6 人月 監査 2 人×従事割合 0.7×4 ヶ月 =11 人日(0.5 人月) ※月平均 4.8 人(57.8÷12 ヶ月=4.8 人) (その他サービス業(印刷・広告):約 11,000 人) ・内部監査を実施しており、毎年約 30 人月程度を要している。 (その他サービス業(印刷・広告):約 1,400 人) ・審査、認証費用に年間 140 万円(プライバシーマーク+ISMS)を要している。 ・内部監査費用として年間 170 人日(ISMS 含む)を要している。 (その他サービス業(会議等開催運営支援):約 190 人) ・プライバシーマーク申請費用として合計 63 万円、プライバシーマーク更新費用として 合計 90 万円を要した。 174